Журнал, справочная система и сервисы
№24
Декабрь

В свежем «Главбухе»

Местная администрация запрашивает сведения о зарплате

Подписка
Срочно заберите все!
№24
3 июня 2016 121 просмотр

В компании появилась необходимость подготовить пакет документы, которые необходимы соблюдении положений закона "По защите персональных данных" 152-ФЗ. Слышали что комплект должен состоять из 36 документов. Подскажите какие именно документы нужно готовить.

Законодательством не установлено количество документов, которые должен содержать пакет. Организация их разрабатывает самостоятельно в соответствии с требованиями ТК РФ и Закона «О персональных данных» №152-ФЗ от 27.07.2006. Единственным условием является, что они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом о персональных данных. Организация обязана назначить ответственного за организацию обработки персональных данных, ознакомить сотрудников, осуществляющих обработку персональных данных, с положениями законодательства (требованиями к их защите, локальными документами организации). У нее должны быть в наличии уведомления об обработке персональных данных и уведомления о прекращении их обработки; письменные согласия сотрудников на обработку личных сведений; документы, подтверждающие уничтожение данных по достижение цели обработки; локальные акты работодателя о работе с персональными данными (хранение, защита, обработка и использование) (п.67.1 Административного регламента). На практике разрабатывают следующие документы по работе с персональными данными (ПД):

-положения (о защите, обработке, хранении и использовании ПД),

-инструкции (для ответственных за обработку данных, по учету лиц допущенных к ПД),

-приказы (назначение ответственных за обработку ПД, установление списка лиц имеющих доступ к ПД, о местах хранения ПД и т.п.),

-согласия (на обработку ПД, на получение ПД третьих лиц(третьей стороне)),

-журналы (учета обращений субъектов ПД, учета передачи ПД и т.п.) и другие.

Обоснование

Из статьи журнала «Кадровое дело», №8, августа 2015
Персональные данные: что проверит Роскомнадзор

<…>

Основные документы, которые проверит Роскомнадзор

Приходя в организацию, Роскомнадзор обязательно проверит (п. 5–5.3 Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312, далее – Административный регламент):

– документы, в которых содержатся или могут содержаться персональные данные;
– информационные системы персональных данных;
– деятельность по обработке данных.

В первую очередь специалист Роскомнадзора проверит наличие уведомлений об обработке персональных данных и уведомлений о прекращении их обработки; письменных согласий сотрудников на обработку личных сведений; документов, подтверждающих уничтожение данных по достижении цели их обработки; локальных актов работодателя о работе с персональными данными (п. 67.1 Административного регламента).

Если проверка проводится по заявлению о нарушении законодательства или с целью контроля исполнения предписания, то специалист Роскомнадзора вправе запрашивать документы, которые необходимы для проверки сведений, изложенных в заявлении.

Уведомление об обработке персональных данных. Прежде чем приступить к обработке персональных данных, каждая организация должна уведомить об этом территориальный орган Роскомнадзора (ч. 1 ст. 22 Закона № 152-ФЗ). В его адрес необходимо направить специальное уведомление в бумажном или электронном виде3 (ч. 3 ст. 22 Закона № 152-ФЗ). Однако существуют случаи, когда его можно не направлять. Например, если обработке подвергаются только фамилия, имя и отчество сотрудника либо когда это необходимо для оформления разового пропуска на территорию организации и др. (ч. 2 ст. 22 Закона № 152-ФЗ).

Уведомление о прекращении обработки персональных данных. Если работодатель прекратил обрабатывать персональные данные, то в течение 10 рабочих дней он должен уведомить об этом орган Роскомнадзора (ч. 7 ст. 22 Закона № 152-ФЗ). Уведомление можно составить в произвольной форме.

Положение о персональных данных работников. Этот локальный акт должен быть в каждой организации (ст. 87 ТК РФ). В нем обязательно нужно указать перечень документов компании, которые содержат персональные данные, определить внутренний (для работников организации) и внешний (для представителей других компаний и государственных органов) порядок доступа к таким данным, а также требования к порядку их сбора, передачи, хранения и уничтожения. Проверьте, чтобы все сотрудники организации были ознакомлены с положением под роспись (ч. третья ст. 68, п. 8 ст. 86 ТК РФ).

Письменное согласие работника на обработку персональных данных. Такое согласие должен дать каждый работник, который ознакомлен с положением о персональных данных (п. 1 ч. 1 ст. 6, ч. 4 ст. 9 Закона № 152-ФЗ). Если сотрудник отказывается дать согласие на обработку своих данных, организация имеет право продолжать обрабатывать их без его разрешения для исполнения возложенных на нее обязанностей (передачи сведений в ПФР, ФСС России др.). Работодатель не имеет права наказать и тем более уволить работника за отказ от дачи такого согласия.

Обязательство о неразглашении персональных данных. От каждого сотрудника, который работает с персональными данными, нужно получить письменное обязательство об их неразглашении. Рекомендуем также указать в должностной инструкции, что работник имеет доступ к таким сведениям в связи с исполнением трудовых обязанностей. Дело в том, что увольнение сотрудника за разглашение персональных данных возможно, только если они стали ему известны в связи с исполнением должностных обязанностей и он давал обязательство не распространять такие сведения (п. 43 постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2).

<…>

Из статьи журнала «Справочник кадровика», №5, мая 2015
Работа с персональными данными. Готовимся к проверке

<…>

Перечень мер по защите персональных данных работодатель определяет самостоятельно. Единственное требование: они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом о персональных данных.

Пожалуй, к числу обязательных можно отнести все те меры, которые перечислены в ч. 1 ст. 18.1 Закона о персональных данных. К ним относятся:

1. Назначение ответственного за организацию обработки персональных данных.

2. Разработка документа, определяющего политику организации в отношении обработки персональных данных, других локальных нормативных актов, предусматривающих в том числе меры по предотвращению и выявлению нарушений трудового законодательства в данной сфере и устранению последствий таких нарушений.

3. Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о персональных данных.

4. Осуществление внутреннего контроля и (или) аудита на предмет соответствия обработки персональных данных закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора.

5. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите, документами, определяющими политику оператора в отношении обработки этих данных, соответствующими локальными актами.

Так, согласно ст. 22.1 Закона о персональных данных работодатели обязаны назначить ответственного за организацию обработки персональных данных. Если это не сделано, велика вероятность, что проверяющий квалифицирует это как нарушение правил работы с персональными данными.

<…>

Обязательные документы

Есть ряд документов, которые должны быть в наличии у каждого работодателя. Среди них ТК РФ называет:

  • положение о порядке обработки персональных данных работников (п. 8 ст. 86);
  • документ, регламентирующий права и обязанности работников в области персональных данных (п. 8 ст. 86);
  • локальный нормативный акт, регулирующий передачу персональных данных в пределах одной организации, одного индивидуального предпринимателя (ст. 88).

Готовясь к проверке, необходимо не только проверить наличие указанных документов, но и проверить их содержание на предмет соответствия законодательству, а также ознакомить с ними всех работников, чьи права и обязанности они так или иначе затрагивают.

<…>

Что же касается работников, которые не имеют доступа к персональным данным других лиц для исполнения трудовой функции, закон требует регламентировать их права и обязанности по отношению к собственным персональным данным.

Чтобы выполнить это требование, достаточно будет отразить соответствующие права и обязанности в локальном нормативном акте об обработке персональных данных. Дополнительно их можно закрепить в правилах внутреннего трудового распорядка. За основу регламентации указанных прав и обязанностей следует взять ст. 89 ТК РФ, а также ст. 14–18 Закона о персональных данных.

Итак, Закон о персональных данных требует наличия:

1) документов, определяющих политику оператора — юридического лица в отношении обработки персональных данных;

2) локальных актов по вопросам обработки персональных данных;

3) локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

СИТУАЦИЯ

Руководство поставило задачу разработать политику организации в отношении обработки персональных данных. Как это сделать? Какой документ нужно издать в первую очередь?

Политика оператора в отношении обработки персональных данных представляет собой документ общего действия, касающийся персональных данных любых лиц, предоставляющих их этому оператору. Поэтому законодатель требует размещения такого документа на официальном сайте оператора.

Локальные нормативные акты, указанные в Законе о персональных данных, напрямую затрагивают трудовые правоотношения. Поэтому работодатель должен их принять. Требование о наличии локального акта по вопросам обработки персональных данных совпадает с аналогичным требованием ТК РФ, о чем было сказано ранее.

Порядок обработки персональных данных может быть отражен в соответствующем локальном нормативном акте, там же следует зафиксировать и требования к передаче персональных данных у одного работодателя как части общего процесса обработки. Кроме того, в этом локальном акте можно указать права и обязанности работников в области персональных данных.

Что касается процедур, направленных на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, то названные процедуры могут быть прописаны либо в отдельном положении, либо в общем локальном нормативном акте об обработке персональных данных.

Содержание перечисленных документов и локальных нормативных актов не должно противоречить действующему законодательству в области прав субъектов персональных данных.

В частности, недопустимо проводить обработку специальных или биометрических персональных данных без согласия их субъекта, если такая возможность не предусмотрена законом. Запрещено устанавливать дисциплинарные взыскания за нарушения в области персональных данных, не предусмотренные законодательством, и т. д.

Кроме того, в указанных документах должны быть закреплены меры по защите персональных данных работников. О необходимости применения правовых, организационных и технических мер по обеспечению их безопасности говорится в ст. 18.1 Закона о персональных данных.

В заключение отметим, что ответственность работодателя за нарушение требований законодательства в области персональных данных может наступить как по общим нормам, то есть в целом за нарушение трудового законодательства (ст. 5.27 Кодекса РФ об административных правонарушениях), так и по специальным составам административных правонарушений:

  • за непредоставление информации (ст. 5.29, 5.39 КоАП РФ);
  • нарушения в области персональных данных (ст. 13.11, 13.12, 13.14 КоАП РФ).

<…>

Персональные консультации по учету и налогам

Лучшие ответы специалистов по налогообложению, бухгалтерскому учету и праву. Ответы специалистов по налогообложению, бухгалтерскому учету и праву.



Вопросы и ответы по теме



Совет недели

Если акт от поставщика датирован 2015 годом, но получили вы его только сейчас, расходы можно учесть в текущем периоде. Ведь из-за ошибки налог на прибыль в 2015 году переплатили (п. 1 ст. 54 НК РФ).
  • Налоговый кодекс
  • Гражданский кодекс
  • Трудовой кодекс

Новые документы

Все изменения в законодательстве для бухгалтера


Директор заваливает вас дополнительной работой?

  Результаты

Система Главбух

Профессиональная справочная система для бухгалтеров

Получить демодоступ

Программа Главбух: Зарплата и кадры

Сервис по расчету и оформлению выплат работникам

Попробовать бесплатно


Калькуляторы и справочники


Пока вы были в отпуске

Самые важные события, материалы и изменения в законе


Подписка на рассылки



Наши партнеры

  • Семинар для бухгалтера
  • Практическое налоговое планирование
  • Зарплата
  • Учет в строительстве
  • Юрист компании
  • Кадровое дело
  • Учет.Налоги.Право
  • Документы и комментарии
  • Учет в сельском хозяйстве
  • Коммерческий директор
  • Упрощенка